Ob Datenschutzrechtsverstöße von Wettbewerbern abgemahnt werden können, ist auch weiterhin ein brisantes Thema. In der Rechtsprechung gibt es kein einheitliches Bild.
Das Landgericht Würzburg hat mit Beschluss vom 13. September 2018 (Az. 11 O 1741/18) erstmals entschieden, dass ein Verstoß gegen Datenschutzbestimmungen auch von Wettbewerbern verfolgt werden kann. Seitdem hat es zur Zulässigkeit datenschutzrechtlicher Abmahnungen weitere, teils widersprüchliche, gerichtliche Entscheidungen gegeben.
Angesichts der großen Bedeutung der Thematik für die deutsche Wirtschaft werden in diesem Beitrag zum einen die bisherigen Gerichtsentscheidungen überblicksartig dargestellt. Zum anderen wird der aktuelle Stand verschiedener Gesetzgebungsinitiativen aufgezeigt, die missbräuchliche DSGVO-Abmahnungen in Zukunft verhindern sollen.
Rechtsprechungsübersicht zu DSGVO-Abmahnungen: Ein uneinheitliches Bild
Mit den Landgerichten Bochum, Würzburg, Wiesbaden und Magdeburg sowie dem Oberlandesgericht Hamburg haben sich mittlerweile fünf deutsche Gerichte mit der Frage befasst, ob es sich bei den Normen der DSGVO um sogenannte „Marktverhaltensregeln“ gem. § 3a UWG handelt. Bejaht man diese Frage, können Datenschutzrechtsverstöße nicht nur von der zuständigen Landesdatenschutzbehörde sanktioniert werden, sondern auch von Wettbewerbern abgemahnt, d.h. privatrechtlich verfolgt werden.
Das Meinungsbild in der Rechtsprechung ist bislang uneinheitlich und schwankt zwischen zwei Auffassungen: Einige Gerichte sind der Ansicht, dass die DSGVO für den Fall eines Datenschutzrechtsverstoßes abschließende Sanktionsmechanismen enthält, sodass eine privatrechtliche Rechtsdurchsetzung durch Wettbewerber ausscheidet. Andere Gerichte vertreten demgegenüber die Ansicht, dass eine privatrechtliche Rechtsdurchsetzung mit der DSGVO in Einklang zu bringen ist. Soweit ersichtlich, sind bislang die folgenden Gerichtsentscheidungen veröffentlicht worden (in chronologischer Reihenfolge):
- LG Bochum (Urteil vom 7. August 2018 – I-12 O 85/18)
- In der ersten Entscheidung eines deutschen Gerichts zu datenschutzrechtlichen Abmahnungen seit Inkrafttreten der DSGVO vertrat das LG Bochum die Auffassung, die DSGVO zähle die möglichen Sanktionen im Falle eines Datenschutzrechtsverstoßes in Artikel 77 bis 84 abschließend auf. Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht seien dort nur unter bestimmten Voraussetzungen aktivlegitimiert. Daraus folgte im Umkehrschluss, dass Mitbewerber nach dem Willen des europäischen Verordnungsgebers nicht befugt seien, Datenschutzrechtsverstöße abzumahnen.
- LG Würzburg (Beschluss vom 13. September 2018 – 11 O 1741/18)
- Nach der gegensätzlichen Ansicht des LG Würzburg enthält die DSGVO kein abschließendes Sanktionsregime. Die Normen der DSGVO seien „Marktverhaltensregeln“ gem. § 3a UWG – mit der Folge, dass Datenschutzrechtsverstöße von Wettbewerbern abgemahnt werden könnten. Das Landgericht begründet seine Rechtsauffassung mit dem Verweis auf zwei ältere Entscheidungen des OLG Hamburg und des OLG Köln, geht dabei aber nicht auf die veränderte Rechtslage seit dem Inkrafttreten der DSGVO ein.
- OLG Hamburg (Urteil vom 25. Oktober 2018 – 3 U 66/17)
- Das OLG Hamburg bestätigte seine Rechtsprechung aus der Zeit vor Inkrafttreten der DSGVO und betonte, Abmahnungen von Datenschutzrechtsverstößen durch Wettbewerber seien grundsätzlich denkbar. Die DSGVO enthalte kein abgeschlossenes Sanktionssystem und stehe datenschutzrechtlichen Abmahnungen daher nicht entgegen: Artikel 82 DSGVO spreche „jeder Person“ Schadensersatzansprüche zu, die wegen eines Verstoßes gegen die DSGVO einen Schaden erlitten habe. Dies verdeutliche, dass die DSGVO die Verfolgung datenschutzrechtlicher Verletzungshandlungen auch durch andere als die „betroffenen Personen“ nicht ausschließe. Nicht jede datenschutzrechtliche Norm sei aber automatisch eine Marktverhaltensregel gem. § 3a UWG. Vielmehr gelte es, dies in jedem Einzelfall konkret zu prüfen.
- LG Wiesbaden (Urteil vom 05. November 2018 – 5 O 214/18)
- Nach Ansicht des LG Wiesbaden wollte der europäische Verordnungsgeber datenschutzrechtliche Abmahnungen durch Wettbewerber nicht ermöglichen. Die DSGVO enthalte eine detaillierte – und abschließende – Regelung des anspruchsberechtigten Personenkreises. Es sei gerade nicht jedem Verband, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter bestimmten Voraussetzungen gestattet, die Rechte der betroffenen Personen wahrzunehmen.
- LG Magdeburg (Urteil vom 18. Januar 2019 – 36 O 48/18)
- Dies sieht auch das Landgericht Magdeburg so. Datenschutzrechtliche Abmahnungen von Wettbewerbern entsprächen nicht dem Willen des Verordnungsgebers. Dieser umschreibe in Artikel 80 DSGVO sehr präzise, wer als nicht unmittelbar Betroffener gegen Datenschutzrechtsverstöße vorgehen könne. Entgegen der Ansicht des OLG Hamburg ergebe sich aus der Formulierung „jeder Person“ in Artikel 82 DSGVO auch keine andere Absicht des Verordnungsgebers. Erwägungsgrund 146 mache deutlich, dass damit nur die vorher angesprochenen „betroffenen Personen“ gemeint seien.
Gesetzgeber plant Eindämmung von missbräuchlichen Abmahnungen
Um die deutsche Wirtschaft vor ausufernden DSGVO-Abmahnungen zu schützen, werden verschiedene Lösungen diskutiert. Sowohl das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) als auch der Freistaat Bayern haben Gesetzesentwürfe mit unterschiedlichen Schwerpunkten erarbeitet.
Der Referentenentwurf des BMJV soll die Anzahl der missbräuchlichen Abmahnungen allgemein verringern, wendet sich aber nicht speziell gegen datenschutzrechtliche Abmahnungen. Folgt man der Auffassung des OLG Hamburg und des LG Würzburg wären datenschutzrechtliche Abmahnungen somit auch in Zukunft weiterhin zulässig. Die Gesetzgebungsinitiative Bayerns geht einen Schritt weiter und zielt darauf ab, datenschutzrechtliche Abmahnungen generell zu untersagen.
Bislang sieht es allerdings nicht so aus, als würde auch nur eine dieser Gesetzgebungsinitiative zeitnah umgesetzt:
- Laut telefonischer Auskunft des BMJV befindet sich der Entwurf des BMJV nach wie vor in der Abstimmung mit anderen Ministerien. Wann diese Abstimmung beendet sein wird, sei derzeit nicht absehbar.
- Der Gesetzentwurf des Freistaats Bayern wird zurzeit in den Fachausschüssen beraten. Auch hier ist ein Ende der Beratungen nicht absehbar.
Unternehmen können sich also nicht darauf verlassen, dass sie der deutsche Gesetzgeber zeitnah vor datenschutzrechtlichen Abmahnungen schützt.
Fazit: Abmahnungsrisiko ernst nehmen
Im Ergebnis bleibt festzuhalten, dass es mit Blick auf die Gefahr datenschutzrechtlicher Abmahnungen weiterhin keine „Entwarnung“ gibt. Gerade die Entscheidung des OLG Hamburg verdeutlicht, dass Unternehmen jederzeit damit rechnen müssen, wegen Datenschutzrechtsverstößen von Wettbewerbern (und Verbraucherverbänden) abgemahnt zu werden.
Für Unternehmen der Digitalwirtschaft ist die Gefahr umso höher, als sich der Abmahnende im Falle bundesweit verfügbarer (Online-) Angebote aussuchen kann, vor welchem Gericht er klagt (sog. „fliegender Gerichtsstand“). Entsprechende Unternehmen müssen sich also darauf einstellen, im Zweifel vor solchen Gerichten verklagt zu werden, die eine „abmahnfreundliche“ Rechtsauffassung vertreten.